มัลแวร์ XWorm 6.0

นักวิจัยด้านความปลอดภัยได้ติดตาม XWorm จากเฟรมเวิร์กการเข้าถึงระยะไกลขนาดกะทัดรัด ไปสู่แพลตฟอร์มแบบโมดูลาร์สูงที่ผู้ปฏิบัติการใช้เพื่อดำเนินการปฏิบัติการที่เป็นอันตรายหลากหลายรูปแบบบนโฮสต์ Windows ที่ถูกบุกรุก XWorm ถูกติดธงโจมตีครั้งแรกในปี 2022 และเชื่อมโยงกับกลุ่มที่ใช้ชื่อ EvilCoder XWorm ได้รับการพัฒนาและปรับปรุงอย่างต่อเนื่องโดยบุคคลที่ใช้ชื่อ XCoder (นักพัฒนาหลักจนถึงกลางปี 2024) และล่าสุดโดยผู้ขายเช่น XCoderTools วิวัฒนาการและการกลับมาปรากฏอีกครั้งอย่างต่อเนื่องแสดงให้เห็นว่าเครื่องมือสามารถแตกแขนง ปรับเปลี่ยนรูปแบบ และกลับคืนสู่ธรรมชาติได้อย่างรวดเร็วเพียงใด

XWorm ถูกสร้างขึ้นมาอย่างไร — Core + Plugins

สถาปัตยกรรมของ XWorm มุ่งเน้นไปที่ไคลเอนต์ขนาดเล็กที่เชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) และชุดโหลดปลั๊กอินขนาดใหญ่ที่โหลดเข้าสู่หน่วยความจำตามต้องการ การออกแบบนี้ช่วยให้ผู้ปฏิบัติงานสามารถเก็บไคลเอนต์น้ำหนักเบาไว้บนโฮสต์ได้ พร้อมกับผลักดันฟังก์ชันการทำงาน (DLL) แบบไดนามิกเพื่อทำงานเฉพาะอย่าง ระบบนิเวศของโครงการนี้ยังรวมถึงเครื่องมือเสริมที่นักพัฒนาโปรโมต ได้แก่ ตัวสร้างมัลแวร์ .NET, RAT แยกต่างหากที่เรียกว่า XBinder และยูทิลิตี้ที่พยายามหลีกเลี่ยงการควบคุมบัญชีผู้ใช้ (UAC) ของ Windows ชุมชนนักพัฒนาที่ใช้ XWorm ได้โฆษณาส่วนประกอบอื่นๆ และโปรแกรมติดตั้งปลอม (โดยเฉพาะโปรแกรมติดตั้ง ScreenConnect ที่เป็นอันตราย) ว่าเป็นเหยื่อล่อให้มีการแจกจ่าย

ห่วงโซ่การติดเชื้อและเทคนิคการส่งมอบ

นักวิจัยได้สังเกตเห็นเวิร์กโฟลว์การติดไวรัส XWorm ที่เปลี่ยนแปลงไปหลายรูปแบบ เชนแรกๆ อาศัยข้อความฟิชชิงที่ส่งไฟล์ทางลัดของ Windows (LNK) ส่วน LNK รัน PowerShell ซึ่งทิ้งไฟล์ล่อ (เช่น TXT ที่ไม่เป็นอันตราย) และไฟล์ปฏิบัติการที่หลอกลวง (มักปลอมตัวเป็น Discord) ซึ่งท้ายที่สุดแล้วจะเปิดเพย์โหลดที่แท้จริง แคมเปญล่าสุดที่เผยแพร่ตระกูล 6.x ได้ใช้ไฟล์แนบ JavaScript ที่เป็นอันตรายในอีเมลฟิชชิงที่แสดงไฟล์ PDF ล่อ ขณะรัน PowerShell เบื้องหลังที่แทรก XWorm เข้าสู่กระบวนการที่ถูกต้องตามกฎหมาย เช่น RegSvcs.exe เพื่อหลีกเลี่ยงการตรวจพบ ผู้ก่อภัยคุกคามยังได้ผลักดันส่วนประกอบ XWorm เวอร์ชันที่แคร็กหรือติดโทรจันผ่านคลัง GitHub เว็บไซต์แชร์ไฟล์ ช่องทาง Telegram และ YouTube เพื่อพยายามหลอกล่อผู้ปฏิบัติงานที่มีทักษะน้อยกว่าให้ติดตั้งโปรแกรมสร้างแบบ backdoor

คุณสมบัติการหลบหลีก การควบคุมระยะไกล และผู้ควบคุม

XWorm ผสานรวมการตรวจสอบวิเคราะห์แบบหลายรายการ ซึ่งจะยกเลิกการทำงานเมื่อตรวจพบตัวบ่งชี้การจำลองเสมือนหรือแซนด์บ็อกซ์ เมื่อเปิดใช้งานแล้ว ไคลเอ็นต์จะรับคำสั่งจาก C2 ที่ครอบคลุมการดำเนินการ RAT ทั่วไป (การถ่ายโอนไฟล์ การจัดการกระบวนการและบริการ การรันคำสั่งเชลล์ การเปิด URL) การควบคุมระบบ (ปิดระบบ/รีสตาร์ท) และการดำเนินการที่รุนแรงมากขึ้น เช่น การเปิดกิจกรรม DDoS โมเดลปลั๊กอินแบบโมดูลาร์ช่วยให้ผู้ปฏิบัติงานระยะไกลสามารถรันเพย์โหลด DLL ที่แตกต่างกันมากกว่า 35 รายการในหน่วยความจำได้โดยไม่ต้องเขียนลงดิสก์ ทำให้ XWorm มีพื้นผิวการโจมตีที่ยืดหยุ่น พร้อมลดร่องรอยทางนิติวิทยาศาสตร์

โปรโตคอลการส่งมอบปลั๊กอิน

XWorm 6.x ใช้โปรโตคอลปลั๊กอินแบบแฮชก่อน: C2 จะออกคำสั่ง 'plugin' ซึ่งประกอบด้วยแฮช SHA-256 ของ DLL ที่ร้องขอ พร้อมด้วยอาร์กิวเมนต์รันไทม์ ไคลเอนต์จะตรวจสอบว่าแคชปลั๊กอินนั้นไว้แล้วหรือไม่ หากยังไม่ได้แคช ก็จะร้องขอไฟล์ด้วย 'sendplugin' เซิร์ฟเวอร์ตอบกลับด้วยคำสั่ง 'savePlugin' ซึ่งบรรจุปลั๊กอินในรูปแบบ blob base64 และแฮช SHA-256 ไคลเอนต์จะถอดรหัส blob ตรวจสอบแฮช และโหลด DLL ลงในหน่วยความจำโดยตรงเพื่อดำเนินการ

ปลั๊กอินที่น่าสนใจและสิ่งที่พวกเขาทำ

• RemoteDesktop.dll — สร้างเซสชันระยะไกลแบบโต้ตอบ
• WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — การขโมยข้อมูลประจำตัวและข้อมูลจากระบบปฏิบัติการและแอปพลิเคชัน (คีย์ Windows, รหัสผ่าน Wi-Fi, ข้อมูลประจำตัวที่จัดเก็บในเบราว์เซอร์ รวมถึงการเลี่ยงผ่านการเข้ารหัสที่ผูกกับแอป และตัวเก็บเกี่ยวสำหรับ FileZilla, Discord, Telegram, MetaMask)
• FileManager.dll — การเข้าถึงและการจัดการระบบไฟล์
• Shell.dll — การดำเนินการคำสั่งปฏิบัติการที่ซ่อนอยู่ผ่านทาง cmd.exe
• Informations.dll — การระบุลายนิ้วมือโฮสต์/ระบบ
• Webcam.dll — จับภาพ/วิดีโอจากเว็บแคมเพื่อยืนยันเหยื่อจริง
• TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — ระบุรายการการเชื่อมต่อเครือข่าย หน้าต่างที่ใช้งานอยู่ และรายการเริ่มอัตโนมัติ
• Ransomware.dll — โปรแกรมเข้ารหัส/ถอดรหัสไฟล์ (แชร์โค้ดกับแรนซัมแวร์สไตล์ NoCry)
• Rootkit.dll — ติดตั้ง rootkit r77 ที่ได้รับการปรับแต่ง
• ResetSurvival.dll — ปรับเปลี่ยนรีจิสทรีของ Windows เพื่อให้สามารถทนต่อการรีเซ็ตอุปกรณ์บางอย่าง

มัลแวร์อื่น ๆ ที่แพร่กระจายผ่านการติดเชื้อ XWorm ได้แก่:

• ผู้ขโมย DarkCloud
• หนอนพยาธิตัวกลม (VBS RAT)
• คีย์ล็อกเกอร์งู
• นักขุดเหรียญ
• มัลแวร์บริสุทธิ์
• ShadowSniff (โปรแกรมขโมย Rust, โอเพ่นซอร์ส)
• จอมโจรผู้หลอกลวง
• เฟเมโดรน สตีลเลอร์

ความล้มเหลวในการปฏิบัติการ การแบ่งแยก และการแตกแขนงของอาวุธ

การพัฒนาของ XWorm ไม่ได้ดำเนินไปอย่างเป็นเส้นตรง ในช่วงครึ่งหลังของปี 2024 ตัวตนของ XCoder ได้ลบบัญชี Telegram ของตนอย่างกะทันหัน ทำให้เกิดข้อสงสัยเกี่ยวกับอนาคตของโครงการ อย่างไรก็ตาม ช่องว่างดังกล่าวกลับก่อให้เกิดกิจกรรมฉวยโอกาสต่างๆ เช่น การแคร็กแพ็กเกจ XWorm v5.6 ซึ่งตัวแพ็กเกจเองก็ถูกติดโทรจันเพื่อแพร่เชื้อให้กับผู้ก่อภัยคุกคามรายอื่นๆ และแคมเปญทางวิศวกรรมสังคมที่มุ่งเป้าไปที่ "script kiddies" ผ่าน GitHub และช่องทางสาธารณะอื่นๆ ซึ่งนักวิจัยประเมินว่าแคมเปญเหล่านี้พยายามโจมตีอุปกรณ์หลายหมื่นเครื่อง (มีรายงานว่ามากกว่า 18,000 เครื่อง)

นักวิเคราะห์ยังพบช่องโหว่ที่ถูกดัดแปลง รวมถึงช่องโหว่ XSPY (รายงานแหล่งที่มา: ช่องโหว่ภาษาจีน) และจุดอ่อนที่สำคัญในการประมวลผลโค้ดจากระยะไกล (RCE) ในบางบิลด์ ซึ่งทำให้ผู้ที่มีคีย์การเข้ารหัส C2 สามารถประมวลผลโค้ดบนโฮสต์ที่ติดไวรัสได้ การแบ่งส่วนของชุดเครื่องมือทำให้การระบุแหล่งที่มาและการถอดถอนทำได้ยากขึ้น ผู้ขายและช่องโหว่ที่แตกต่างกันสามารถปรากฏและหายไปได้อย่างอิสระ

การเปิดตัวใหม่ในปี 2025: XWorm 6.0 และกิจกรรม Marketplace

เมื่อวันที่ 4 มิถุนายน 2568 ผู้จำหน่ายรายหนึ่งที่เรียกตัวเองว่า XCoderTools ได้โพสต์ XWorm 6.0 บนฟอรัมอาชญากรรมไซเบอร์ในราคา 500 ดอลลาร์สหรัฐฯ สำหรับการเข้าถึงแบบตลอดชีพ โดยอ้างว่าเวอร์ชันนี้ถูกเขียนโค้ดใหม่ทั้งหมด และข้อบกพร่อง RCE ที่รายงานก่อนหน้านี้ได้รับการแก้ไขแล้ว ยังไม่เป็นที่แน่ชัดว่าเวอร์ชันนี้มาจากผู้เขียนต้นฉบับหรือจากบุคคลที่สามที่ใช้ประโยชน์จากแบรนด์ XWorm ตัวอย่าง XWorm 6.0 ที่พบถูกกำหนดค่าให้ติดต่อกับ C2 ที่หมายเลข 94.159.113[.]64 บนพอร์ต 4411 และใช้โปรโตคอลปลั๊กอินตามที่อธิบายไว้ข้างต้น ทำให้สามารถส่งมอบโมดูล DLL หลายสิบโมดูลในหน่วยความจำได้อย่างรวดเร็ว

บรรทัดล่าง

วงจรชีวิตของ XWorm ตั้งแต่การพัฒนาอย่างต่อเนื่อง การถูกยกเลิก ไปจนถึงการกลับมาปรากฏอีกครั้งภายใต้ผู้ขายรายใหม่และรุ่นที่ถูกแคร็กโดยโทรจัน ล้วนเป็นเครื่องเตือนใจว่ามัลแวร์คือระบบนิเวศ แม้ว่าผู้เขียนต้นฉบับจะหายตัวไป แต่โค้ดของพวกเขาก็ยังสามารถถูกฟอร์ก ดัดแปลงเป็นอาวุธ และนำไปใช้งานใหม่โดยผู้อื่นได้ ดังนั้น ผู้ป้องกันจึงต้องมุ่งเน้นไปที่การควบคุมและกลยุทธ์การตรวจจับที่ยืดหยุ่น โดยตั้งสมมติฐานว่าศัตรูจะนำชุดเครื่องมือที่มีอยู่กลับมาใช้ซ้ำและบรรจุใหม่